%20--%3e%3csvg%20version='1.1'%20xmlns='http://www.w3.org/2000/svg'%20x='0px'%20y='0px'%20viewBox='0%200%20207.3%2029'%20style='enable-background:new%200%200%20207.3%2029;'%20xml:space='preserve'%3e%3cstyle%20type='text/css'%3e%20.st0{fill:%231E293B;}%20.st1{fill:%232563eb;}%20%3c/style%3e%3cg%20id='Ebene_1'%3e%3cg%20id='Ebene_2_00000023959154727838081460000010218683892316788135_'%3e%3cg%3e%3cg%3e%3cpath%20class='st0'%20d='M24.3,7.4c0-0.8,0-1.5,0-2.2c0-0.6-0.4-1-1-1c-4.4,0-7.6-1.2-10.4-3.9c-0.4-0.3-1-0.3-1.5,0%20C8.7,2.9,5.4,4.1,1.1,4.1c-0.6,0-1,0.5-1,1c0,0.7,0,1.5,0,2.2c-0.2,7.4-0.4,17.3,11.8,21.6l0.3,0.1l0.3-0.1%20C24.6,24.6,24.4,14.7,24.3,7.4z%20M11.4,17.5C11.4,17.5,11.3,17.5,11.4,17.5c-0.3,0.2-0.5,0.3-0.8,0.3l0,0c-0.3,0-0.5-0.2-0.7-0.3%20l-2.7-3c-0.3-0.3-0.3-0.9,0.1-1.1L7.5,13c0.3-0.3,0.9-0.3,1.1,0.1l1.4,1.6c0.3,0.3,0.8,0.3,1.1,0.1l4.4-4.2%20c0.3-0.3,0.9-0.3,1.1,0l0.3,0.3c0.3,0.3,0.3,0.9,0,1.1L11.4,17.5z'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg%20id='Ebene_2'%3e%3cg%3e%3cpath%20class='st1'%20d='M46.3,8.6h-5.1v14.1h-2.8V8.6h-5.1V6.2h13V8.6z'/%3e%3cpath%20class='st1'%20d='M54.3,16.2h-3.2v6.3h-2.8V6.2h5.8c1.9,0,3.3,0.4,4.4,1.3S60,9.6,60,11.2c0,1.1-0.3,2-0.8,2.8%20c-0.5,0.7-1.3,1.3-2.2,1.7l3.7,6.8v0.2h-3L54.3,16.2z%20M51.1,13.9H54c1,0,1.7-0.2,2.2-0.7s0.8-1.1,0.8-2s-0.2-1.5-0.8-2%20C55.7,8.7,55,8.5,54,8.5h-3v5.4H51.1z'/%3e%3cpath%20class='st1'%20d='M74.3,6.2v10.9c0,1.7-0.6,3.1-1.7,4.1s-2.6,1.5-4.4,1.5c-1.9,0-3.4-0.5-4.5-1.5c-1.1-1-1.6-2.3-1.6-4.1V6.2%20h2.8v10.9c0,1.1,0.3,1.9,0.8,2.5c0.5,0.6,1.4,0.9,2.5,0.9c2.2,0,3.3-1.1,3.3-3.5V6.2H74.3z'/%3e%3cpath%20class='st1'%20d='M85.7,18.3c0-0.7-0.2-1.3-0.8-1.7c-0.5-0.4-1.4-0.8-2.7-1.2c-1.3-0.4-2.4-0.8-3.1-1.3%20c-1.5-0.9-2.2-2.2-2.2-3.7c0-1.3,0.5-2.4,1.6-3.3s2.5-1.3,4.2-1.3c1.1,0,2.2,0.2,3,0.6c0.8,0.4,1.6,1,2.1,1.8s0.8,1.6,0.8,2.6%20h-2.8c0-0.9-0.3-1.5-0.8-2s-1.3-0.7-2.3-0.7c-0.9,0-1.7,0.2-2.2,0.6s-0.8,1-0.8,1.7c0,0.6,0.3,1.1,0.8,1.5s1.5,0.8,2.7,1.2%20c1.2,0.4,2.3,0.8,3.1,1.3c0.8,0.5,1.3,1,1.7,1.7c0.4,0.6,0.5,1.4,0.5,2.2c0,1.4-0.5,2.5-1.6,3.2c-1,0.8-2.5,1.2-4.2,1.2%20c-1.2,0-2.3-0.2-3.3-0.7c-1-0.4-1.8-1-2.3-1.8s-0.8-1.7-0.8-2.7h2.8c0,0.9,0.3,1.6,0.9,2.2c0.6,0.6,1.5,0.8,2.6,0.8%20c1,0,1.7-0.2,2.2-0.6C85.4,19.5,85.7,19,85.7,18.3z'/%3e%3cpath%20class='st1'%20d='M102.6,8.6h-5.1v14.1h-2.8V8.6h-5.1V6.2h13V8.6z'/%3e%3cpath%20class='st0'%20d='M117,17.2c-0.2,1.7-0.8,3.1-1.9,4.1s-2.6,1.5-4.5,1.5c-1.3,0-2.4-0.3-3.4-0.9c-1-0.6-1.8-1.5-2.3-2.6%20c-0.5-1.1-0.8-2.5-0.8-4v-1.5c0-1.5,0.3-2.9,0.8-4.1s1.3-2.1,2.3-2.7s2.2-0.9,3.5-0.9c1.8,0,3.3,0.5,4.4,1.5s1.7,2.4,1.9,4.1h-2.8%20c-0.1-1.2-0.5-2-1-2.5c-0.6-0.5-1.4-0.8-2.4-0.8c-1.2,0-2.2,0.5-2.8,1.4c-0.7,0.9-1,2.2-1,4v1.5c0,1.8,0.3,3.1,0.9,4.1%20s1.6,1.4,2.8,1.4c1.1,0,1.9-0.2,2.5-0.8c0.6-0.5,0.9-1.3,1.1-2.5L117,17.2L117,17.2z'/%3e%3cpath%20class='st0'%20d='M128.5,18.8h-6.4l-1.3,3.8h-2.9l6.2-16.4h2.6l6.2,16.4h-3L128.5,18.8z%20M122.9,16.5h4.7l-2.4-6.8L122.9,16.5z'%20/%3e%3cpath%20class='st0'%20d='M137.2,16.5v6.1h-2.8V6.2h6.3c1.8,0,3.3,0.5,4.3,1.4c1.1,1,1.6,2.2,1.6,3.8c0,1.6-0.5,2.9-1.6,3.7%20c-1.1,0.8-2.5,1.3-4.4,1.3C140.6,16.4,137.2,16.4,137.2,16.5z%20M137.2,14.2h3.4c1,0,1.8-0.2,2.3-0.7s0.8-1.2,0.8-2.1%20s-0.3-1.6-0.8-2.1s-1.3-0.8-2.2-0.8h-3.5C137.2,8.6,137.2,14.2,137.2,14.2z'/%3e%3cpath%20class='st0'%20d='M160.7,8.6h-5.1v14.1h-2.8V8.6h-5.1V6.2h13V8.6L160.7,8.6z'/%3e%3cpath%20class='st0'%20d='M175.1,17.2c-0.2,1.7-0.8,3.1-1.9,4.1c-1.1,1-2.6,1.5-4.5,1.5c-1.3,0-2.4-0.3-3.4-0.9c-1-0.6-1.8-1.5-2.3-2.6%20c-0.5-1.1-0.8-2.5-0.8-4v-1.5c0-1.5,0.3-2.9,0.8-4.1s1.3-2.1,2.4-2.7c1-0.6,2.2-0.9,3.5-0.9c1.8,0,3.3,0.5,4.4,1.5%20s1.7,2.4,1.9,4.1h-2.8c-0.1-1.2-0.5-2-1-2.5S170,8.4,169,8.4c-1.2,0-2.2,0.5-2.9,1.4s-1,2.2-1,4v1.5c0,1.8,0.3,3.1,0.9,4.1%20c0.6,0.9,1.6,1.4,2.8,1.4c1.1,0,1.9-0.2,2.5-0.8c0.6-0.5,0.9-1.3,1.1-2.5L175.1,17.2L175.1,17.2z'/%3e%3cpath%20class='st0'%20d='M190.4,22.5h-2.8v-7.2h-7.3v7.2h-2.8V6.2h2.8v6.8h7.3V6.2h2.8V22.5z'/%3e%3cpath%20class='st0'%20d='M202.8,18.8h-6.3l-1.3,3.8h-2.9l6.2-16.4h2.6l6.2,16.4h-3L202.8,18.8z%20M197.3,16.5h4.7l-2.4-6.8L197.3,16.5z'%20/%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%2016H32V24H0V16Z'%20fill='%23FFD018'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%208H32V16H0V8Z'%20fill='%23E31D1C'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%200H32V8H0V0Z'%20fill='%23272727'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_270_67353'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%200V24H32V0H0Z'%20fill='%232E42A5'/%3e%3cmask%20id='mask0_270_67386'%20style='mask-type:luminance'%20maskUnits='userSpaceOnUse'%20x='0'%20y='0'%20width='32'%20height='24'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M0%200V24H32V0H0Z'%20fill='white'/%3e%3c/mask%3e%3cg%20mask='url(%23mask0_270_67386)'%3e%3cpath%20d='M-3.56323%2022.2854L3.47846%2025.2635L32.1597%203.23787L35.874%20-1.18761L28.344%20-2.18297L16.6456%207.3085L7.22956%2013.7035L-3.56323%2022.2854Z'%20fill='white'/%3e%3cpath%20d='M-2.59924%2024.3719L0.988173%2026.1001L34.5402%20-1.59881H29.5031L-2.59924%2024.3719Z'%20fill='%23F50100'/%3e%3cpath%20d='M35.5631%2022.2854L28.5214%2025.2635L-0.159817%203.23787L-3.87415%20-1.18761L3.65593%20-2.18297L15.3543%207.3085L24.7703%2013.7035L35.5631%2022.2854Z'%20fill='white'/%3e%3cpath%20d='M35.3229%2023.7829L31.7355%2025.5111L17.4487%2013.6518L13.2129%2012.3267L-4.23151%20-1.17246H0.805637L18.2403%2012.0063L22.8713%2013.5952L35.3229%2023.7829Z'%20fill='%23F50100'/%3e%3cmask%20id='path-7-inside-1_270_67386'%20fill='white'%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M19.7777%20-2H12.2222V8H-1.97253V16H12.2222V26H19.7777V16H34.0275V8H19.7777V-2Z'/%3e%3c/mask%3e%3cpath%20fill-rule='evenodd'%20clip-rule='evenodd'%20d='M19.7777%20-2H12.2222V8H-1.97253V16H12.2222V26H19.7777V16H34.0275V8H19.7777V-2Z'%20fill='%23F50100'/%3e%3cpath%20d='M12.2222%20-2V-4H10.2222V-2H12.2222ZM19.7777%20-2H21.7777V-4H19.7777V-2ZM12.2222%208V10H14.2222V8H12.2222ZM-1.97253%208V6H-3.97253V8H-1.97253ZM-1.97253%2016H-3.97253V18H-1.97253V16ZM12.2222%2016H14.2222V14H12.2222V16ZM12.2222%2026H10.2222V28H12.2222V26ZM19.7777%2026V28H21.7777V26H19.7777ZM19.7777%2016V14H17.7777V16H19.7777ZM34.0275%2016V18H36.0275V16H34.0275ZM34.0275%208H36.0275V6H34.0275V8ZM19.7777%208H17.7777V10H19.7777V8ZM12.2222%200H19.7777V-4H12.2222V0ZM14.2222%208V-2H10.2222V8H14.2222ZM-1.97253%2010H12.2222V6H-1.97253V10ZM0.0274658%2016V8H-3.97253V16H0.0274658ZM12.2222%2014H-1.97253V18H12.2222V14ZM14.2222%2026V16H10.2222V26H14.2222ZM19.7777%2024H12.2222V28H19.7777V24ZM17.7777%2016V26H21.7777V16H17.7777ZM34.0275%2014H19.7777V18H34.0275V14ZM32.0275%208V16H36.0275V8H32.0275ZM19.7777%2010H34.0275V6H19.7777V10ZM17.7777%20-2V8H21.7777V-2H17.7777Z'%20fill='white'%20mask='url(%23path-7-inside-1_270_67386)'/%3e%3c/g%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_270_67386'%3e%3crect%20width='32'%20height='24'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Auftragsdatenverarbeitungsvertrag
Hier finden Sie unseren aktuellen Auftragsdatenverarbeitungsvertrag in unserer Standardausführung. Ein komplettes, aktuelles Vertragsmuster samt Anlagen können Sie hier herunterladen und lesen.
Unseren Standardverträg können Sie jederzeit und eigenständig innerhalb Ihres Benutzerskonto unter Verträge abschließen. Falls Sie einen individuellen Vertrag oder Zusatzvereinbarungen benötigen, wenden Sie sich bitte an unser Support-Team.
1 - Gegenstand und Dauer der Auftragsverarbeitung
1.1 Gegenstand
Wesentlicher Gegenstand ist die Bereitstellung eines Software-as-a-Service (SaaS) Online-Dienstes, bekannt als CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Die vom Vertrag umfassten Leistungen erstrecken sich auf die Bereitstellung, den Betrieb, Wartung, Support, Analyse und Verbesserung der Dienstleistungen des CAPTCHA-Dienstes.Dieser Vertrag ergänzt den Servicevertrag (nachfolgend Hauptvertrag) zwischen dem Verantwortlichen und Trustcaptcha GmbH. Der Vertrag geht dem Hauptvertrag vor, wenn es um die Erfüllung regulatorischer Anforderungen im Bereich des Datenschutzes oder der Datensicherheit gemäß der DSGVO geht und dies nur in Bezug auf die jeweiligen Felder, in denen personenbezogene Daten verarbeitet werden.
1.2 Dauer
Die Dauer (Laufzeit) dieses Vertrags entspricht der Laufzeit des Hauptvertrags, mindestens aber während der Auftragsverarbeiter für den Verantwortlichen personenbezogene Daten verarbeitet. Darüber hinaus stimmen die Parteien überein, dass alle vorherigen Verträge zur Auftragsverarbeitung mit dem Abschluss dieses Vertrages einvernehmlich aufgehoben werden.2 - Konkretisierung der Datenverarbeitung
2.1 Zweck und Art der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Verantwortlichen i.S.v. Art. 4 Nr. 2 DSGVO auf Grundlage des Auftrags. Der Zweck der Datenverarbeitung ist der Schutz von Unternehmen, durch die Sicherheitsmechanismen des CAPTCHA-Diensts von TrustCaptcha, sowie die Bereitstellung zusätzlicher Funktionen. TrustCaptcha wertet Daten bei CAPTCHA-Anfragen zur Bedrohungsanalyse aus. TrustCaptcha verarbeitet zudem Daten, um damit verbundene erweiterte Funktionen anbieten zu können. Die Daten können insbesondere, soweit jeweils erforderlich: erhoben, gespeichert, organisiert, verändert, ausgelesen, abgefragt, verwendet, offengelegt, abgeglichen, verknüpft und gelöscht werden.2.2 Gegenstand der Verarbeitung
Gegenstand der Verarbeitung durch den CAPTCHA-Dienst sind Nutzungs-/Verhaltensdaten, Gerätedaten, Verbindungsdaten und Standortdaten. Dazu zählen beispielsweise, abhängig von Gerät und Einstellungen des Nutzers, Angaben zu Geräteeigenschaften und Gerätedaten (z.B. Gerät und Gerätetyp, Betriebssystem, Plugins, Bildschirmgröße, Hardware), IP-Adresse, Referrer-Website, automatisch übermittelte Cookies, Verhaltensdaten wie Maus- und Tastaturverhalten bzw. Berührungen bei Touch-Geräten, sowie Einstellungen (z.B. Sprache). Diese können temporär gespeichert, mit anderen Informationen wie z.B. Uhrzeit, allgemeinen Standortinformationen und IP-Allow-/Blocklists abgeglichen und ausgewertet werden. Manche Daten können temporär zur Weiterentwicklung der Schutzmechanismen gespeichert werden. Die Datenerfassung durch das CAPTCHA beschränkt sich auf technische, verhaltensbezogene und statistische Aspekte, es werden keine inhaltlichen Eingaben ausgewertet. Die vom CAPTCHA-Dienst verarbeiteten Daten werden ausschließlich für die Zwecke der CAPTCHA-Verifikation, sowie um zuverlässig auf zukünftige Bedrohungen vorbereitet zu sein, verarbeitet. Die Daten werden zudem für die Bereitstellung von Statistiken und Nutzungsinformationen für den Verantwortlichen verarbeitet. Um bei wandelnden Anforderungen und Rahmenbedingungen effektiven Schutz zu bieten, sowie durch die Erweiterung um neue Funktionen, können zukünftig auch andere Daten verarbeitet werden.2.3 Kategorien betroffener Personen
Die Verarbeitung betrifft:- Personen, die die Auswertung (Bot-Verifikation) von einem CAPTCHA-Feld auslösen
2.4 Die vertraglich vereinbarte Datenverarbeitung personenbezogener Daten wird in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum durchgeführt. Eine Verlagerung in ein Drittland ist nur mit vorheriger Zustimmung des Verantwortlichen zulässig und darf nur bei Erfüllung der speziellen Anforderungen der Art. 44 ff. der DSGVO stattfinden.
3 - Technische und organisatorische Maßnahmen
- 3.1 Der Auftragsverarbeiter hat die Sicherheit nach Art. 28 Abs. 3 lit. c, gemäß Art. 32 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen (Siehe Anlage 2).
- 3.2 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Daher ist es dem Auftragsverarbeiter erlaubt, alternative adäquate Maßnahmen umzusetzen, solange das festgelegte Sicherheitsniveau nicht dauerhaft unterschritten wird. Wesentliche Änderungen werden dokumentiert.
4 - Auskunft, Berichtigung, Löschung und Rückgabe von personenbezogenen Daten
- 4.1 Der Auftragsverarbeiter kann im Auftrag des Verantwortlichen während der Vertragslaufzeit die vertragsgegenständlichen personenbezogenen Daten berichtigen oder löschen, wenn der Verantwortliche dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragsverarbeiter die datenschutzkonforme Vernichtung von Datenträgern oder sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Verantwortlichen. Für die Erbringung dieser Unterstützungsleistungen kann der Auftragsverarbeiter ein Entgelt je angefangener Arbeitsstunde berechnen.
- 4.2 Der Auftragsverarbeiter ist berechtigt, insbesondere die zur Bedrohungsanalyse vom CAPTCHA-Dienst verarbeiteten personenbezogenen Daten, jederzeit zu löschen oder zu anonymisieren. Dies dient der Reduzierung der verarbeiteten Datenmenge und der Sicherstellung der Effizienz des CAPTCHA-Dienstes.
- 4.3 Der Auftragsverarbeiter unterstützt den Verantwortlichen nach besten Kräften bei der Erfüllung der Rechte betroffener Personen (Art. 28 Abs. 3 lit. e DSGVO) und stellt sicher, dass die erforderlichen technischen und organisatorischen Maßnahmen zur Erfüllung dieser Anfragen vorhanden sind.
- 4.4 Wendet sich eine betroffene Person zwecks Auskunft, Berichtigung oder Löschung an den Auftragsverarbeiter, wird der Auftragsverarbeiter die betroffene Person an den Verantwortlichen verweisen und leitet den Antrag an den Verantwortlichen weiter. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anträgen betroffener Personen in angemessenem Umfang. Anfragen für Unterstützung hat der Verantwortliche in Textform an den Auftragsverarbeiter zu stellen und diesem die entstehenden Kosten zu erstatten.
- 4.5 Nach Beendigung der Dienstleistung löscht der Auftragsverarbeiter, nach Weisung des Verantwortlichen, alle personenbezogenen Daten oder gibt diese dem Verantwortlichen zurück, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.
5 - Weisungsbefugnis des Verantwortlichen und Pflichten des Auftragsverarbeiters
- 5.1 Der Auftragsverarbeiter darf personenbezogene Daten, die Gegenstand des Auftrags sind, nur im Rahmen des Auftrages und der Weisungen des Verantwortlichen verarbeiten, außer es liegt ein Ausnahmefall des Art. 28 Abs. 3 lit. a DSGVO vor. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragsverarbeiter darf die Umsetzung der Weisung so lange aussetzen, bis sie vom Verantwortlichen bestätigt oder abgeändert wurde.
- 5.2 Weisungen vom Verantwortlichen muss der Auftragsverarbeiter dokumentieren.
- 5.3 Mündliche Weisungen bestätigt der Verantwortliche unverzüglich (mindestens Textform).
- 5.4 Erteilt der Verantwortliche dem Auftragsverarbeiter Weisungen, die über die vertraglich vereinbarten Leistungen hinausgehen oder unvorhergesehene zusätzliche Maßnahmen erfordern, so hat der Verantwortliche die dadurch entstehenden Kosten zu erstatten.
- 5.5 Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die zur Vertraulichkeit verpflichtet wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
- 5.6 Der Auftragsverarbeiter stellt die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen (Siehe Anlage 2) sicher.
- 5.7 Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- 5.8 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
- 5.9 Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach Möglichkeit zu unterstützen.
- 5.10 Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
6 - Pflichten des Verantwortlichen
- 6.1 Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er Verstöße des Auftragsverarbeiters gegen datenschutzrechtliche Bestimmungen feststellt.
- 6.2 Verantwortlich für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung, sowie für die Wahrung der Rechte von Betroffenen ist allein der Verantwortliche.
7 - Mitteilung bei Verstößen des Auftragsverarbeiters
- 7.1 Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Verantwortlichen bekannt werden. Eine Meldung von Datenschutzverletzungen enthält mindestens:
- eine Beschreibung des Vorfalls, soweit möglich mit Angabe der Art der Verletzung des Schutzes personenbezogener Daten, Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
- Kontaktdaten einer Anlaufstelle für weitere Informationen
- eine Beschreibung der wahrscheinlichen Folgen des gemeldeten Vorfalls, eine Beschreibung der ergriffenen Maßnahmen zur Behebung und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
- 7.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten, einschließlich der Sicherheit personenbezogener Daten, der Meldung von Datenschutzverletzungen, der Durchführung von Datenschutz-Folgenabschätzungen und der vorherigen Konsultation mit Aufsichtsbehörden. Hierzu gehören insbesondere:
- Implementierung und Aufrechterhaltung angemessener technischer und organisatorischer Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus (Siehe Anlage 2).
- Unverzügliche Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde.
- Information der betroffenen Personen über Datenschutzverletzungen, wenn diese voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten darstellen.
- Durchführung von Datenschutz-Folgenabschätzungen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
- Konsultation der Aufsichtsbehörde vor der Verarbeitung, wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko darstellt.
8 - Kontrollrechte
Der Auftragsverarbeiter weist, nach Anforderung des Verantwortlichen, diesem die Einhaltung der in diesem Vertrag niedergelegten Pflichten nach, jedoch nicht mehr als einmal pro Kalenderjahr. Dies betrifft insbesondere den Nachweis über die Umsetzung der technischen und organisatorischen Maßnahmen. Dieser Nachweis erfolgt durch Zertifizierungen oder Berichte interner oder externer Prüfer, sowie durch Inspektionen in besonderen Fällen. Prüfungen müssen ohne Störung des Betriebsablaufs sowie unter Wahrung der Sicherheits- und Vertraulichkeitsinteressen des Auftragsverarbeiters durchgeführt werden. Prüfungen haben nur innerhalb üblicher Geschäftszeiten zu erfolgen und sind mindestens 14 Tage vorab anzukündigen.9 - Unterauftragsverhältnisse
- 9.1 Ein Unterauftragsverhältnis im Rahmen dieses Vertrags sind solche Leistungen, bei denen der Auftragsverarbeiter weitere Unterauftragsverarbeiter mit der Verarbeitung von im Vertrag vereinbarten personenbezogenen Daten, die im direkten Bezug zur Erbringung der Hauptdienstleistung stehen, beauftragt.
- 9.2 Ein Unterauftragsverhältnis erfordert, dass der Unterauftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt bekommt, die in dem Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt.
- 9.3 Der Verantwortliche stimmt den in Anlage 1 aufgeführten, bereits beauftragten Unterauftragsverarbeitern zu.
- 9.4 Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter Unterauftragsverarbeiter hinzuzieht oder ersetzt. Vor Hinzuziehung oder Ersetzung der Unterauftragsverarbeiter zeigt der Auftragsverarbeiter dem Verantwortlichen Änderungen, mit einer angemessenen Frist, schriftlich oder in Textform an. Im Falle eines Einspruchs des Verantwortlichen steht dem Auftragsverarbeiter das Recht zur außerordentlichen Kündigung dieser Vereinbarung sowie des zugrundeliegenden Servicevertrags zu.
- 9.5 Wenn der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU oder des EWR erbringt, ist der Auftragsverarbeiter dafür verantwortlich, dass die datenschutzrechtlichen Anforderungen durch geeignete Maßnahmen erfüllt werden.
10 - Sonstiges
- 10.1 Der Verantwortliche ist verpflichtet, alle im Rahmen dieses Vertragsverhältnisses erlangten Kenntnisse über Geschäftsgeheimnisse und Datensicherheitsmaßnahmen des Auftragsverarbeiters als vertraulich zu behandeln. Diese Verpflichtung gilt auch nach Beendigung dieses Vertrags. Sollten Zweifel bestehen, ob eine Information der Geheimhaltungspflicht unterliegt, so ist diese Information bis zur schriftlichen Freigabe durch den Auftragsverarbeiter als vertraulich zu behandeln.
- 10.2 Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren.
- 10.3 Änderungen und Ergänzungen dieses Vertrags und aller ihrer Bestandteile, einschließlich etwaiger Zusicherungen des Auftragsverarbeiters, bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
- 10.4 Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.
- 10.5 Es gilt das Recht der Bundesrepublik Deutschland.
- 10.6 Gerichtsstand ist das Gericht am Sitz des Anbieters und damit München.
Version: v24.11.1